Hoe kies ik scope en plan ik de doorlooptijd van een ISO 27001-traject?
Het traject staat of valt met een realistische scope. Te breed wordt het zwaar, te smal wordt het ongeloofwaardig voor klanten. Doorlooptijd hangt af van volwassenheid en team-grootte.
support/compliance-en-wetgeving/iso-27001-doorlooptijd-scopestappen: 5
Probeer dit eerst zelf
- Bepaal de scope op basis van wat je verkoopt en aan wie. Voor een SaaS-mkb is dat vaak het product, het team dat eraan werkt en de ondersteunende processen, niet de hele BV.
- Maak een gap-analyse tegen ISO 27001:2022. Loopt over je governance, policies, risk management, mensen, fysieke beveiliging, technische maatregelen en leveranciersmanagement.
- Plan in twee fases. Eerst het ISMS opbouwen en in de praktijk minstens een paar maanden laten draaien. Pas daarna stage 1 audit door de certificerende instelling.
- Reken op meerdere maanden tot grofweg een jaar voor een eerste certificering, afhankelijk van het volwassenheidsniveau en hoeveel tijd het team kan vrijmaken. Geen exacte garantie, vraag een externe partij om een schatting voor jouw situatie.
- Plan de jaarlijkse her-certificering en interne audits direct in. Een ISMS dat na audit stilvalt, valt bij de eerstvolgende ronde door.
Wanneer ons inschakelen
Bij beperkte interne capaciteit loont het om een externe ISMS-coach in te huren voor de eerste cyclus. Niet om alles te doen, wel om jullie op de rails te zetten.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.